• Algemene Verordening Gegevensbescherming (AVG)

    Privacy en bescherming van persoonsgegevens

    Voetbalvereniging DSC’65 verwerkt persoonsgegevens. Wij willen je hierover graag informeren.

    Privacywetgeving en de AVG

    Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze nieuwe privacywet, internationaal de General Data Protection Regulation(GDPR) genoemd, geldt in de hele Europese Unie en gaat onder andereover het bewaren en beschermen van persoonsgegevens. De nieuwe Europese privacywetgeving heeft ook impact op DSC’65. Welke gevolgen heeft de wetgeving voor gebruik van persoonsgegevens?

    Privacy statement en privacybeleid

    In deze privacy verklaring geven wij antwoord op de belangrijkste vragen over de verwerking van persoonsgegevens door DSC’65. Wij leggen hierin uit welke rechten u heeft en hoe wij met uw persoonsgegevens omgaan. Heeft u vragen? Stel deze dan gerust per e-mail aan: info@dsc65.nl

    Wat zijn persoonsgegevens?

    Wanneer (een combinatie van) gegevens naar een persoon herleid kunnen worden spreken we van persoonsgegevens. Dat geldt voor bijvoorbeeld naam, (e-mail)adres en leeftijd. Maar ook voor bijvoorbeeld een combinatie van voornaam en geboortedatum. En ook foto’s en video’s worden gezien als persoonsgegevens. Wanneer anderen die persoonsgegevens hebben, moeten ze daar zorgvuldig mee omgaan.

    Van wie verwerkt DSC’65 persoonsgegevens?

    DSC’65 verwerkt persoonsgegevens van mensen met wie de vereniging direct of indirect een relatie heeft, wil krijgen of heeft gehad. Dat zijn bijvoorbeeld gegevens van:

    • Leden en oud-leden van de voetbalvereniging.
    • Donateurs en oud-donateurs van de voetbalvereniging.
    • Personen die in dienst van de voetbalvereniging (vrijwilligers)taken vervullen, willen vervullen of hebben vervult.
    • Personen die aan een bedrijf of organisatie verbonden zijn, waar de voetbalvereniging een relatie mee heeft, wil krijgen of heeft gehad.

    Wie is verantwoordelijk voor de verwerking van persoonsgegevens?

    DSC’65 is verantwoordelijk voor vrijwel alle verwerkingen die zij uitvoert met de persoonsgegevens van de leden. De vereniging bepaalt immers hoe en waarom bepaalde verwerkingen plaatsvinden (zoals ledenbeheer, innen van de contributie en nieuwsvoorziening van leden, online publicaties door de vereniging, of de doorgifte van persoonsgegevens aan een sportbond).

    Vaak worden dezelfde persoonsgegevens van een betrokkene door meerdere partijen verwerkt voor verschillende doeleinden. Deze partijen zijn doorgaans ieder zelfstandig verantwoordelijk voor wat zij zélf met die persoonsgegevens doen.

    DSC’65 deelt veel persoonsgegevens met de sportbond KNVB (via Sportlink). De KNVB is echter niet automatisch verantwoordelijke voor verwerkingen die plaatsvinden door derde partijen die dat doen voor hun eigen doeleinden, ook al heeft deze derde de persoonsgegevens wellicht verkregen bij de KNVB.

    Wie is verantwoordelijk bij gebruikmaken van externe dienstverleners?

    DSC’65 neemt de persoonsgegevens van de leden op in een ledenadministratie. Ook worden in Sportlink persoonsgegevens uitgewisseld, dit wordt aangeboden en gehost door een ICT-dienstverlener. De hosting gebeurt ten behoeve van DSC’65 (en niet voor eigen doeleinden van de ICT-dienstverlener). De ICT-dienstverlener is dus verwerker, en DSC’65 is verantwoordelijk voor de verwerkingen die plaats vinden binnen de ledenadministratie. Om te voorkomen dat DSC’65 verantwoordelijk is voor zaken waar geen invloed op kan worden uitgeoefend, moet DSC’65 een verwerkersovereenkomst sluiten met deze ICT-dienstverlener. Ook worden er gegevens gedeeld met v.v. Dalen ten aanzien van de SJO Dalen-DSC ook hiervoor zullen we een verwerkersovereenkomst sluiten.

    Op weg naar overzicht

    DSC’65 is verplicht zorgvuldig om te gaan met persoonsgegevens. De wet stelt daarvoor een aantal concrete eisen. Om de gevolgen daarvan te achterhalen heeft DSC’65 eerst vastgesteld hoe de vereniging persoonsgegevens zoal gebruikt. Die informatie is vastgelegd in een verwerkingsregister, zodat we per verwerking eenvoudig kunnen controleren of een gebruik van persoonsgegevens wel of niet is toegestaan en of de gebruikte gegevens niet te lang worden bewaard. Het bijhouden van een verwerkingsregister is vanaf 25 mei 2018 wettelijk verplicht.

    Welke informatie wordt opgenomen in het verwerkingsregister?

    Het register is een schematisch overzicht met essentiële informatie over de verwerkingen van persoonsgegevens binnen de vereniging. Het register geeft antwoord op de volgende vragen:

    • Wat zijn de verschillende doeleinden waarvoor de vereniging persoonsgegevens verwerkt?
    • Om welke persoonsgegevens gaat het?
    • Wie zijn binnen de vereniging belast met deze verwerking?
    • Op welke categorie personen hebben de gegevens betrekking (wie zijn de betrokkenen)?
    • Hoe zijn betrokkenen geïnformeerd over deze verwerking?
    • Welke IT-systemen worden gebruikt bij deze verwerking?
    • Hoe lang worden de betreffende persoonsgegevens bewaard?
    • Wat zijn in algemene bewoordingen de getroffen beveiligingsmaatregelen ter bescherming van de betrokken persoonsgegevens?

    Informatiebeveiliging

    Voetbalvereniging DSC’65 is zelfstandig verplicht om persoonsgegevens veilig te behandelen. Als gegevens bijvoorbeeld worden gestolen of ergens rondslingeren, kan dit vervelende gevolgen hebben voor betrokkenen.

    Welke beveiligingsplicht is van toepassing?

    DSC’65 moet passende maatregelen treffen om te voorkomen dat persoonsgegevens worden blootgesteld aan onrechtmatige verwerking. Informatiebeveiliging is echter meer dan het beschermen tegen diefstal en virussen. De praktijk leert dat de meeste beveiligingsincidenten het gevolg zijn van niet-opzettelijk en nalatigheid, zoals bijvoorbeeld het rondslingeren van USB-sticks met leden- en deelnemerslijsten, of een computercrash waarbij persoonsgegevens definitief verloren gaan. Persoonsgegevens moeten worden beschermd tegen iedere vorm van verlies van beschikbaarheid, integriteit dan wel vertrouwelijkheid.

    Welke maatregelen moeten worden getroffen?

    Informatiebeveiliging draait om een juiste combinatie van zowel technische als organisatorische maatregelen, waarbij uiteindelijk de zwakste schakel telt.

    Voorbeelden van technische maatregelen zijn:

    • Het regelmatig doen wijzigen van wachtwoorden.
    • Het regelmatig maken van back-ups.

    Voorbeelden van organisatorische maatregelen zijn:

    • Het invoeren van een geheimhoudingsplicht aan vrijwilligers/bestuurders.

    Bij de te nemen maatregelen houdt DSC’65 rekening met de risico’s die met de verwerking van persoonsgegevens zijn verbonden. Bijzondere risicogebieden zijn bijvoorbeeld:

    • De vertrouwelijkheid en beschikbaarheid van de verenigingsadministratie, met name de ledenadministratie.
    • Communicatie met vertrouwenspersonen.
    • Gegevens van (jeugd)leden.

    Mogen persoonsgegevens op privé apparatuur worden geplaatst?

    Het is niet ongebruikelijk dat bestuurders/vrijwilligers bij de vervulling van verenigingstaken gebruik maken van privé apparatuur. Dat is in principe mogelijk, maar DSC’65 blijft verantwoordelijk voor het veilige verloop van dit gebruik. Bij plaatsing van persoonsgegevens op privé apparatuur zijn de volgende regels van toepassing:

    • De gebruiker moet antivirus software installeren en deze regelmatig updaten.
    • De gebruiker moet deugdelijke toegangscodes instellen.
    • Vermijd opslag op lokale harde schijven indien gebruik kan worden gemaakt van web-omgevingen (bijv. Google Apps, Office 365, online verenigingsadministratie etc.).
    • Zorg dat te allen tijde een deugdelijke back-up beschikbaar blijft van de gegevens die op de privé apparatuur worden verwerkt.
    • Beëindigt iemand zijn of haar verenigingstaken, dan dient ervoor gezorgd te worden dat deze persoon niet langer toegang heeft tot de gegevens.

    Wat moet de vereniging doen in geval van een data-lek ?

    Leidt een beveiligingsincident tot de vernietiging, verlies, wijziging of ongeoorloofde verstrekking/toegang, dan is mogelijk sprake van een datalek. Tenzij het datalek waarschijnlijk geen nadelige gevolgen heeft voor de betrokken personen, moet het lek tijdig worden gemeld bij de Autoriteit Persoonsgegevens. Heeft het lek bovendien een hoog risico op nadelige gevolgen voor de personen wiens gegevens het betreft, dan moet het incident ook aan deze personen worden gemeld. Blijkt een datalek achteraf ten onrechte niet tijdig te zijn gemeld, dan kan dit leiden tot oplegging van een fikse boete.

    De privacyverklaring en het vragen van toestemming

    DSC’65 is verplicht om betrokkenen te informeren over de manier waarop wordt omgegaan met hun persoonsgegevens. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging, die zijn vastgelegd in het verwerkingsregister van de vereniging.

    Wat wordt opgenomen in de privacyverklaring?

    In de privacyverklaring wordt, in duidelijke bewoordingen, onder meer de volgende informatie opgenomen:

    • De doeleinden waarvoor DSC’65 persoonsgegevens verwerkt.
    • Hoe lang persoonsgegevens worden bewaard (of de criteria die DSC’65 hanteert voor het vaststellen van de bewaartermijn).
    • Aan welke (categorieën) derden persoonsgegevens eventueel worden doorgegeven.
    • De vermelding dat de betrokkene een gegeven toestemming voor een verwerking op ieder moment mag intrekken.
    • De vermelding dat de betrokkene een verzoek kan indienen tot inzage, correctie, verwijdering van persoonsgegevens, en het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
    • Indien de persoonsgegevens via een derde worden verkregen in plaats van rechtstreeks via de betrokkene, wordt tevens meegedeeld van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft.

    Hoe wordt de privacyverklaring beschikbaar gesteld?

    De betrokkene wordt voorafgaand aan het vastleggen van zijn of haar persoonsgegevens geïnformeerd. Wanneer iemand zich bijvoorbeeld online aanmeldt als verenigingslid wordt deze op het formulier duidelijk naar de privacyverklaring verwezen met een hyperlink, als volgt: “DSC’65 verwerkt uw persoonsgegevensconform de privacyverklaring”. Gebeurt de aanmelding niet online maar ter plaatse, dan wordt op het papier verwezen naar de privacyverklaring welke dan tevens (online)beschikbaar is.

    Wanneer is toestemming nodig voor de verwerking van persoonsgegevens?

    Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Eén van deze gevallen is dat de betrokkene uitdrukkelijk toestemming geeft. Toestemming is echter niet nodig voor iedere verwerking. Denk bijvoorbeeld aan verwerkingen die voor DSC’65 noodzakelijk zijn om uitvoering te geven aan de lidmaatschapsovereenkomst met leden.

    Voorbeelden waarvoor DSC’65 toestemming nodig heeft zijn:

    • De verzending van reclame per e-mail aan leden door verenigingssponsoren.
    • Het analyseren van iemands online gedrag (bijvoorbeeld door het gebruik van cookies of locatiegegevens).
    • De plaatsing van foto’s van jeugdspelers op een publiek toegankelijke website.

    Waarop moet worden gelet bij het gebruik van toestemming?

    Wanneer DSC’65 persoonsgegevens verwerkt op basis van toestemming, moet met het volgende rekening worden gehouden:

    • Stilzwijgende toestemming is niet voldoende. Een checkbox bijvoorbeeld die automatisch staat aangevinkt moet worden vermeden; actieve instemming van de betrokkene is vereist.
    • Toestemming is slechts geldig als deze uit vrije wil door de betrokkene is gegeven. Heeft de betrokkene dus feitelijk geen keus, dan is van geldige toestemming geen sprake.
    • Toestemming voor de verwerking van gegevens van een persoon die nog geen 16 jaar oud is, moet worden gevraagd aan de ouder/voogd.
    • Een verkregen toestemming moet worden vastgelegd. DSC’65 moet achteraf kunnen aantonen dat een zekere toestemming daadwerkelijk is verleend.
    • Een betrokkene heeft het recht om een gegeven toestemming op ieder moment in te trekken.

    Marketing en online publicatie

    Ook ten aanzien van marketing en online publicatie zijn privacyregels van toepassing.

    Het SPAM-verbod

    Het SPAM-verbod houdt in dat DSC’65 iemand geen ongevraagde elektronische berichten mag sturen, tenzij de ontvanger daar vooraf mee instemt. Hieronder vallen bijvoorbeeld niet enkel typische reclame boodschappen, maar ook nieuwsbrieven.

    Hoe zit het met het sturen van gewone nieuwsbrieven aan eigen leden?

    Op het versturen van reguliere nieuwsbrieven aan leden is het SPAM-verbod niet van toepassing. DSC’65 moet leden immers regelmatig kunnen informeren (bijvoorbeeld vanwege uitnodiging Algemene Leden Vergadering). Maar, voor commerciële boodschappen is wél toestemming nodig van de ontvanger, lid of niet.

    Hoe zit het met het sturen van gemengde nieuwsbrieven aan leden?

    DSC’65 stuurt geen berichten aan leden met daarin zowel verenigingsinformatie als commerciële boodschappen (zoals bijvoorbeeld een kortingsactie van een sponsor). Mocht dat in de toekomst wel gebeuren, dan zal daartoe vooraf toestemming worden gevraagd.

    Moet in iedere nieuwsbrief een uitschrijflink zijn opgenomen?

    Ja, iedere ontvanger moet zich eenvoudig kunnen afmelden voor het ontvangen van ongevraagde elektronische berichten.

    Contactgegevens delen met sponsoren

    Mochten sponsoren DSC’65 verzoeken om adresgegevens van verenigingsleden te verstrekken, omdat zij deze verenigingsleden individueel willen kunnen benaderen met commerciële mededelingen, dan is het DSC’65 onder bepaalde omstandigheden toegestaan om adresgegevens (naam, adres, woonplaats) met hen te delen.

    Moeten leden instemmen met het doorgeven van adresgegevens aan sponsoren?

    Ja, maar individuele toestemming is niet noodzakelijk. DSC’65 kan de doorgifte van adresgegevens namelijk ook in algemene zin laten goedkeuren door de algemene ledenvergadering. Na een dergelijke instemming is individuele toestemming van ieder lid niet langer nodig. Wel moet DSC’65 haar leden op voorhand duidelijk meedelen dat ieder lid gedurende een bepaalde periode eenvoudig bezwaar kan maken tegen de verstrekking van zijn of haar eigen adresgegevens. DSC’65 kan leden daarover informeren via bijvoorbeeld mail of de eigen website. In een voorkomend geval zal DSC’65 leden vier weken de kans bieden voor het kenbaar maken van hun eventuele bezwaren.

    Mag de vereniging ook e-mailadressen van leden verstrekken aan sponsoren?

    Voor het verzenden van ongevraagde elektronische berichten is uitdrukkelijke toestemming nodig van de ontvanger. Beschikt een sponsor niet over dergelijke individuele toestemming, dan mag DSC’65 geen e-mailadressen van deze ontvangers verstrekken aan deze sponsor.

    Online publicaties

    Wat zijn de regels omtrent het maken en publiceren van foto’s en video’s?

    Foto’s en video’s met een herkenbaar in beeld gebrachte betrokkene zijn meestal persoonsgegevens. Voor het maken en publiceren ervan heeft DSC’65 daarom vaak toestemming nodig van de betrokkene, zeker als het gaat om een minderjarig persoon. Toestemming ten aanzien van iemand die nog geen 16 jaar oud is, moet worden gevraagd aan de ouder/voogd.

    Let op: iemand die toestemming geeft voor het maken van een foto, geeft daarmee niet per definitie toestemming voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. In de regel zal DSC’65 gehoor geven aan een dergelijk verzoek.

    DSC’65 zorgt ervoor dat leden en toeschouwers zijn geïnformeerd over eventuele beeldopnamen.

    Gelden dit soort regels ook op sociale media?

    Ook op sociale media is DSC’65 verantwoordelijk voor het publiceren van persoonsgegevens (zoals foto’s). DSC’65 zal derhalve goed overwegen welke publicaties wel/niet wenselijk zijn, en dit indien van toepassing onderwerp van discussie maken in de ledenvergadering. De kern is uiteindelijk dat de privacy is geborgd van leden/personen die dergelijke publiciteit liever mijden, en dat DSC’65 adequaat omgaat met eventuele klachten en verzoeken.

    Links naar andere websites

    De website kan links naar andere websites bevatten. Deze Privacyverklaring is alleen van toepassing op de websites van DSC’65. Andere websites kunnen hun eigen privacybeleid hanteren. DSC ’65 raadt u aan om voor het gebruik van andere websites altijd de betreffende privacyverklaring van die websites te raadplegen.

    Wijzigingen in het privacybeleid

    DSC’65 past haar privacybeleid van tijd tot tijd aan om deze up-to-date te houden. Op de websites zal steeds de meest recente versie van onze privacyverklaring worden opgenomen. DSC’65 raadt u dan ook aan de privacyverklaring regelmatig te raadplegen. Bij belangrijke wijzigingen zal DSC ’65 er alles aan doen u per e-mail en via de websites te informeren.

    Klacht over de verwerking van uw Persoonsgegevens

    Natuurlijkhelpen wij u ook graag verder als u een klacht heeft over de verwerking van uw persoonsgegevens. Op grond van de AVG heeft u bovendien het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens over onze verwerkingen van uw persoonsgegevens. U kunt hiervoor contact opnemen met de Autoriteit Persoonsgegevens.

    Heeft u nog vragen, mail gerust: info@dsc65.nl